新网创想网站建设,新征程启航
为企业提供网站建设、域名注册、服务器等服务
今天就跟大家聊聊有关使用postMessage怎么实现iframe跨域,可能很多人都不太了解,为了让大家更加了解,小编给大家总结了以下内容,希望大家根据这篇文章可以有所收获。
我们拥有十余年网页设计和网站建设经验,从网站策划到网站制作,我们的网页设计师为您提供的解决方案。为企业提供网站设计、网站制作、微信开发、小程序定制开发、手机网站制作、成都h5网站建设、等业务。无论您有什么样的网站设计或者设计方案要求,我们都将富于创造性的提供专业设计服务并满足您的需求。
postMessage是什么
此处引用MDN关于postMessage的详细说明。简而言之就是:postMessage是挂载在window下的一个方法,用于不同域名下的两个页面的信息交互,父子页面通过postMessage()发送消息,再通过监听message事件接收信息。
postMessage使用
假设有一个父页面indexPage.html, 子页面iframePage.html
一、父页面向子页面发送消息
// 父页面index.html //获取iframe元素 iFrame = document.getElementById('iframe') //iframe加载完毕后再发送消息,否则子页面接收不到message iFrame.onload = function(){ //iframe加载完立即发送一条消息 iFrame.contentWindow.postMessage({msg: 'MessageFromIndexPage'},'\*'); }
iFrame.contentWindow.postMessage('MessageFromIndexPage','b.com')
方法的第一个参数是发送的消息,无格式要求;第二个参数是域名限制,当不限制域名时填写* ,第三个可选参数transfer一般不填,这个参数有严重的浏览器兼容问题。
二、子页面接收父页面发送的消息
// 子页面iframePage.html //监听message事件 window.addEventListener("message", function(event){ console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event ) }, false)
三、子页面给父页面传递消息
window.parent.postMessage({name: '张三'}, '\*');
方法的第一个参数是发送的消息,目前可无格式要求, 在 Gecko 6.0 (Firefox 6.0 / Thunderbird 6.0 / SeaMonkey 2.3)之前, 参数 message 必须是一个字符串;第二个参数是域名限制,当不限制域名时填写’*‘
四、父页面接收子页面的消息
//监听message事件 window.addEventListener("message", function receiveMessageFromIframePage (event) { console.log('这里是子页面发送来的消息,消息内容在event.data属性中', event) }, false);
postMessage的安全问题
使用postMessage交互,默认就是允许跨域行为,一旦允许跨域,就会有一些安全问题,针对postMessage主要有两种攻击方式。一是伪造数据发送方(父页面),易造成数据接收方(子页面)受到XSS攻击或其他安全问题;二是伪造数据接收方,类似jsonp劫持。
一、伪造数据发送方
攻击方式:伪造一个父页面,引导使用者触发功能,发送消息给子页面,如果子页面将父页面发送的消息直接插入当前文档流,就是引发XSS攻击,或者子页面使用父页面传递的消息进行其他操作,例如写入数据,造成安全问题。
防范方式:子页面iframe对接收到的message信息做域名限制
// 子页面iframePage.html //监听message事件 window.addEventListener("message", function(event){ origin = event.origin || event.originalEvent.origin if(origin == 'https://A.com'){ console.log( '这里是接收到来自父页面的消息,消息内容在event.data属性中', event ) } }, false)
二、伪造数据接收方
攻击方式:伪造一个子页面,在父页面中引入子页面,在伪造的页面中接收父页面发送的消息,此时可以获取用户的敏感消息。
防范方式:父页面对发送消息的页面做域名限制
// 父页面index.html //获取iframe元素 iFrame = document.getElementById('iframe') //iframe加载完毕后再发送消息,否则子页面接收不到message iFrame.onload = function(){ //iframe加载完立即发送一条消息 iFrame.contentWindow.postMessage('MessageFromIndexPage','https://B.com'); }
看完上述内容,你们对使用postMessage怎么实现iframe跨域有进一步的了解吗?如果还想了解更多知识或者相关内容,请关注创新互联行业资讯频道,感谢大家的支持。